CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN CƠ SỞ DỮ LIỆU
2.3. Một số vụ tấn công CSDL gần đây
Trong những năm qua, tình hình ăn cắp dữ liệu ngày càng gia tăng. Gần đây nhất, trong “Báo cáo về các mối đe dọa tấn công năm 2014” (McAfee Labs – 2014 Threats Report [14]) và “Dự báo các mối đe dọa trong năm 2015” của McAfee (McAfee Labs - 2015 Threats Predictions [15]) đã cho thấy sự gia tăng tấn công CSDL và an toàn mạng, cùng với những chiến lược mới của giới hacker để che giấu hành tung và đánh cắp dữ liệu nhạy cảm.
Nhiều báo cáo về thiệt hại do dữ liệu bị đánh cắp gây ra đã được công bố, bên cạnh những vụ việc mà thiệt hại chưa thể ước tính được.
2.3.1. Vụ tấn công làm lộ thông tin khách lớn nhất trong lịch sử [1]
Hãng bảo hiểm Anthem, lớn thứ 2 của Mỹ, đã bị hacker tấn công vào CSDL khách hàng hồi đầu tháng 2/2015. Hậu quả là thông tin cá nhân của khoảng 78,8 triệu khách hàng bị xâm phạm, gồm tên, ngày sinh và số thẻ an sinh xã hội,... Hãng bảo mật ThreatConnect cho rằng cuộc tấn công có thể có liên quan đến hoạt động của nhóm hacker Axiom đến từ Trung Quốc. Nhóm hacker đã sử dụng các công cụ như giả mạo website, phishing email và mã độc nhằm đánh cắp mật khẩu của nhân viên và chiếm quyền truy cập hệ thống. Điều nguy hiểm là dữ liệu mà hacker đánh cắp lại chưa được mã hóa, nên chúng dễ dàng sử dụng dữ liệu này để gây hại. [9,13]
Chỉ 1 tháng sau vụ tấn công Anthem, ngày 17/3/2015 công ty bảo hiểm y tế Premera Blue Cross cho biết các dữ liệu y tế và thông tin tài chính của 11 triệu khách hàng của hãng có thể bị hacker xâm nhập. Hiện vẫn chưa rõ các thông tin bị rò rỉ từ vụ tấn công CSDL của Premera đã được mã hóa hay chưa.[1]
2.3.2. Đánh cắp dữ liệu của công ty Community Health Systems (CHS)
Các dữ liệu bị đánh cắp gồm tên bệnh nhân, địa chỉ, ngày sinh, số an sinh xã hội, các thông tin nhạy cảm khác của nhân viên và lãnh đạo CHS.[18,22]
Kẻ tấn công đã khai thác lỗi trên giao thức mã hóa SSL xuất phát từ công nghệ OpenSSL trong một thiết bị của Juniper Networks (OpenSSL - thư viện mã hóa nguồn mở dùng để bảo mật cho khoảng 2/3 số trang web trên toàn thế giới). Kiểu tấn công này còn có tên khác là “Trái tim rỉ máu” (Heartbleed). Được phát hiện trong tháng 4/2014, Heartbleed là lỗ hổng bảo mật đầu tiên trong hai lỗ hổng nghiêm trọng làm chấn động thế giới Internet năm này (Heartbleed và Shellshock). Heartbleed cho phép kẻ tấn công đột nhập vào các máy chủ có tính năng “the heartbeat extension” trong thư viện OpenSSL được kích hoạt, lấy đi những dữ liệu nhạy cảm của người dùng được bảo mật bằng mã hóa SSL.
Tuy nhiên, một lỗi bảo mật khác hiện đang trở thành mối lo ngại của nhiều chuyên gia bảo mật, đó là Shellshock [3]. Shellshock là tên gọi một lỗ hổng bảo mật có khả năng gây ảnh hưởng trực tiếp đến ứng dụng Bash
nền tảng Linux cũng như HĐH Mac OS X. Shellshock cho phép kẻ xấu có thể tấn công, kiểm soát từ xa các hệ thống Linux hay Mac không được bảo vệ. Không như lỗi bảo mật Heartbleed, vốn chỉ ảnh hưởng trực tiếp đến các hệ thống máy chủ, Shellshock nguy hiểm hơn rất nhiều vì có thể gây ảnh hưởng một lượng lớn máy tính cài đặt MAC OS X và nhiều thiết bị IoT khác vốn được nhúng các đoạn mã dựa trên nền Linux. Theo dự đoán, lỗ hổng bảo mật mới phát hiện này có thể gây ảnh hưởng đến 500 triệu người dùng, cao hơn nhiều so với con số khoảng 500.000 người dùng bị ảnh hưởng bởi Heartbleed.[3]
2.3.3. Tấn công theo hình thức “Ransomware”
Số vụ tấn công Ransomeware ngày càng gia tăng. Cuối năm 2014, ThreatSeeker Websense Network phát hiện 1,05 triệu trường hợp tấn công theo hình thức này trên toàn cầu. Đặc biệt, 60% các cuộc tấn công là nhằm vào nước Úc. [8]
Ransomware là một loại phần mềm độc hại có thể ngăn chặn hoặc hạn chế người dùng truy cập hệ thống và dữ liệu của mình. Nạn nhân của loại tấn
công này phải trả tiền để được cấp quyền truy cập vào hệ thống hay có lại dữ liệu của mình. Một hình thức tấn công Ransomeware đang gia tăng không ngừng đó là Crypto-ransomware. Crypto-ransomware sử dụng các công nghệ mã hóa để làm cho nạn nhân không thể đọc dữ liệu, khiến họ phải trả tiền mới có thể phục hồi dữ liệu của mình.
Bảng 2.3. Tỉ lệ Crypto-ransomware trong Ransomware [19] 2.3.4. Tấn công kiểu “Watering hole” 2.3.4. Tấn công kiểu “Watering hole”
Kiểu tấn công “Watering hole” đang được giới tội phạm có tổ chức cũng như nhiều chính phủ sử dụng để tiến hành những chiến dịch đánh cắp thông tin có mục tiêu hay theo dõi những nhóm người có chính kiến bất đồng[2]. Qua việc tìm hiểu thói quen truy cập của các nạn nhân để lừa hướng họ sang các trang web bị nhiễm mã độc, hoặc lợi dụng lỗ hổng ngay trên trang Web nạn nhân thường ghé thăm để cài mã độc vào, phục sẵn chờ lây nhiễm vào máy tính của nạn nhân. Một trong những cuộc tấn công kiểu “Watering hole” lớn nhất trong thời gian gần đây là nhắm vào các nhân viên Facebook, Apple, và Twitter. [16]
Vào tháng 1/2013, diễn đàn iPhoneDevSDK đã bị hacker khai thác một lỗ hổng Zero-Day của Java. Các cuộc tấn công đã được phát hiện một tháng sau đó. Cuộc điều tra sau đó cho thấy mã độc được những kẻ tấn công “cấy” vào trang iPhoneDevSDK bắt đầu phát huy tác dụng từ đầu tháng 9/2012. Reuters cho biết nguồn tin thân cận từ cơ quan điều tra xác nhận hàng trăm công ty, bao gồm cả các nhà thầu quốc phòng, đã bị nhiễm cùng loại mã độc.
Cũng vào đầu năm 2013, các cuộc tấn công kiểu “Watering hole” đã được phát hiện nhắm các trang Web của người Tây Tạng, với mục tiêu có chọn lọc là những người nói tiếng Trung Quốc đến thăm Cục Quản lý Trung ương Tây Tạng (Central Tibetan Administration) và Quỹ chăm sóc trẻ em nghèo Tây Tạng (Tibetan Homes Foundation).[2]
2.3.5. Edward Snowden
Đáng chú ý nhất trong các sự kiện bảo mật những năm qua gần đây, phải kể đến vụ Edward Snowden tung hê bí mật chương trình nghe lén của Mỹ vào tháng 6/2013. Snowden được cho là có thể đã tiết lộ cho giới truyền thông khoảng 50.000 – 200.000 tài liệu trong số rất nhiều tài liệu “Tuyệt mật” và cả những tài liệu đóng dấu “Tình báo đặc biệt” của Cơ quan an ninh quốc gia Mỹ (The National Security Agency - NSA) mà Snowden đã tiếp cận được khi còn làm công việc quản lý hệ thống máy tính của NSA [2]. Dữ liệu Snowden thu thập được bao gồm những tài liệu kỹ thuật chi tiết về các hoạt động tình báo của Mỹ và các nước đồng minh, trong đó đặc biệt là các tài liệu từ những chương trình do thám ít ai biết tới như PRISM, Boundless Informant, và Tempora, qua đó đã để lộ ra qui trình quản lý lỏng lẻo, thiếu sự giám sát đối với những chương trình đặc biệt nhạy cảm này.
Những thông tin nhạy cảm được báo chí đăng tải dựa trên những tài liệu do Snowden cung cấp dẫn đến nhiều phiên điều trần về vụ việc tại Quốc hội Mỹ. Nhiều cuộc tranh luận nổ ra trên các phương tiện thông tin đại chúng,
và Snowden được tôn là người hùng, nhưng cũng bị gọi là kẻ thù nước Mỹ. Trong tháng 6/2013, các công tố viên liên bang Mỹ đã cáo buộc Snowden phạm tội trộm cắp trái phép tài sản của chính phủ và làm lộ thông tin bí mật quốc phòng.
Tiết lộ của Snowden cũng đồng thời tạo ra những mối hiểm họa khó lường. Nhân viên tại tờ nhật báo Anh, The Guardian (tờ báo đầu tiên cho đăng tải thông tin do Snowden cung cấp) đang đối mặt với nguy cơ bị tấn công khủng bố; Silent Circle và Lavabit đã tuyên bố đóng cửa dịch vụ email mã hóa cao cấp của họ do lo ngại sự giám sát của chính phủ Mỹ. Tuy nhiên, vụ Snowden đã khiến người dùng có ý thức cẩn trọng hơn trong giao tiếp qua mạng. Nhiều người quan tâm tới quyền riêng tư bắt đầu tìm tới các tiêu chuẩn giao tiếp an toàn ít được dùng lâu nay, như: sử dụng phương thức mã hóa Off- the-Record (OTR) để bảo mật chat, mã hóa email bằng Pretty Good Privacy (PGP), và dùng Tor cho trình duyệt web.